CISO Insider: 3ο Τεύχος
Καλώς ήρθατε στο τρίτο τεύχος της σειράς CISO Insider. Είμαι ο Rob Lefferts και ηγούμαι των ομάδων μηχανικών Microsoft Defender και Sentinel. Ξεκινήσαμε αυτή τη σειρά πριν από περίπου ένα χρόνο για να μοιραστούμε ιδέες που προέκυψαν από τις συζητήσεις μας με κάποιους από τους συναδέλφους σας, καθώς και από τη δική μας έρευνα και εμπειρία που εργαζόμαστε στην πρώτη γραμμή της ασφάλειας στον κυβερνοχώρο.
Τα δύο πρώτα τεύχη μας εξέτασαν τις κλιμακούμενες απειλές, όπως το ransomware, καθώς και τον τρόπο με τον οποίο οι ηγέτες της ασφάλειας χρησιμοποιούν την αυτοματοποίηση και τις ευκαιρίες αναβάθμισης των δεξιοτήτων τους για να βοηθήσουν στην αποτελεσματική αντιμετώπιση αυτών των απειλών εν μέσω μιας συνεχιζόμενης έλλειψης ταλέντων. Με τους CISO να αντιμετωπίζουν ακόμη μεγαλύτερη πίεση για να λειτουργούν αποτελεσματικά στη σημερινή οικονομική αβεβαιότητα, πολλοί επιδιώκουν τη βελτιστοποίηση, χρησιμοποιώντας λύσεις που βασίζονται στο cloud και ολοκληρωμένες υπηρεσίες διαχείρισης της ασφάλειας. Σε αυτό το τεύχος, εξετάζουμε τις αναδυόμενες προτεραιότητες ασφάλειας καθώς οι οργανισμοί μετατοπίζονται σε ένα μοντέλο που επικεντρώνεται ολοένα και περισσότερο στο cloud, φέρνοντας μαζί τους τα πάντα στους ψηφιακούς τους πόρους, από συστήματα εσωτερικής εγκατάστασης έως συσκευές IoT.
Το δημόσιο cloud προσφέρει το win-win-win της ισχυρής θεμελιώδους ασφάλειας συν την αποδοτικότητα κόστους συν την κλιμακούμενη υπολογιστική, πράγμα που το κάνει τον βασικό πόρο σε μια εποχή περιορισμού των προϋπολογισμών. Όμως, με αυτό το τριπλό παιχνίδι έρχεται η ανάγκη να "προσέξουμε τα κενά" που προκύπτουν στη σύνδεση μεταξύ του δημόσιου cloud, του ιδιωτικού cloud και των τοπικών συστημάτων. Εξετάζουμε τι κάνουν οι επικεφαλής της ασφάλειας για να διαχειριστούν την ασφάλεια στους οριακούς χώρους μεταξύ των δικτυακών συσκευών, των τελικών σημείων, των εφαρμογών, των cloud και των διαχειριζόμενων υπηρεσιών. Τέλος, εξετάζουμε δύο τεχνολογίες που αντιπροσωπεύουν την κορυφή αυτής της πρόκλησης ασφάλειας, το IoT και το OT. Η σύγκλιση αυτών των δύο πολωμένων τεχνολογιών—η μία εκκολαπτόμενη και η άλλη κληρονομημένη, οι οποίες εισάγονται στο δίκτυο χωρίς επαρκή ενσωματωμένη ασφάλεια—δημιουργεί ένα πορώδες άκρο ευάλωτο σε επιθέσεις.
Το Τεύχος 3 εξετάζει αυτές τις τρεις προτεραιότητες ασφάλειας με επίκεντρο το cloud:
Το cloud είναι ασφαλές, όμως, διαχειρίζεστε με ασφάλεια το περιβάλλον cloud σας;
Μια ολοκληρωμένη κατάσταση ασφαλείας ξεκινά με την ορατότητα και ολοκληρώνεται με τη διαχείριση των κινδύνων κατά προτεραιότητα.
Με την επιτάχυνση της υιοθέτησης του cloud έρχεται ο πολλαπλασιασμός των υπηρεσιών, των τελικών σημείων, των εφαρμογών και των συσκευών. Εκτός από μια στρατηγική για τη διαχείριση των κρίσιμων σημείων σύνδεσης στο cloud, οι CISO αναγνωρίζουν την ανάγκη για μεγαλύτερη ορατότητα και συντονισμό σε όλο το διευρυνόμενο ψηφιακό τους αποτύπωμα—μια ανάγκη για ολοκληρωμένη διαχείριση της κατάστασης. Εξετάζουμε τον τρόπο με τον οποίο οι επικεφαλής της ασφάλειας επεκτείνουν την προσέγγισή τους από την πρόληψη των επιθέσεων (που εξακολουθεί να είναι η καλύτερη άμυνα, εφόσον λειτουργεί) στη διαχείριση του κινδύνου μέσω ολοκληρωμένων εργαλείων διαχείρισης κατστάσεων που βοηθούν στην καταγραφή των πόρων και στη μοντελοποίηση του επιχειρηματικού κινδύνου—και, φυσικά, στον έλεγχο ταυτότητας και πρόσβασης.
Βασιστείτε στη μηδενική εμπιστοσύνη και την υγιεινή για να τιθασεύσετε το εξαιρετικά ποικιλόμορφο, υπερ-δικτυωμένο περιβάλλον του IoT & OT.
Η εκθετική αύξηση των συνδεδεμένων συσκευών IoT και OT συνεχίζει να αποτελεί πρόκληση για την ασφάλεια—ιδιαίτερα λόγω της δυσκολίας συμβιβασμού των τεχνολογιών που αποτελούν ένα μείγμα εργαλείων εγγενών στο cloud, τρίτων κατασκευαστών και παλαιού εξοπλισμού που έχει μετασκευαστεί για δικτύωση. Ο αριθμός των παγκόσμιων συσκευών IoT αναμένεται να φθάσει τα 41,6 δισεκατομμύρια έως το 2025, δημιουργώντας μια διευρυμένη περιοχή ευάλωτη σε επιθέσεις για τους εισβολείς που χρησιμοποιούν τέτοιες συσκευές ως σημεία εισόδου για επιθέσεις στον κυβερνοχώρο. Αυτές οι συσκευές τείνουν να γίνονται στόχος ως σημεία ευπάθειας σε ένα δίκτυο. Μπορεί να έχουν εισαχθεί ad hoc και να έχουν συνδεθεί στο δίκτυο IT χωρίς σαφή κατεύθυνση από την ομάδα ασφαλείας, να έχουν αναπτυχθεί χωρίς θεμελιώδη ασφάλεια από τρίτους ή να τις διαχειρίζεται ανεπαρκώς η ομάδα ασφαλείας λόγω προκλήσεων, όπως τα ιδιόκτητα πρωτόκολλα και οι απαιτήσεις διαθεσιμότητας (OT). Μάθετε πώς πολλοί επικεφαλής πληροφορικής εξελίσσουν τώρα τη στρατηγική τους για την ασφάλεια IoT/OT για να περιηγηθούν σε αυτό το άκρο που είναι γεμάτο κενά.
Το cloud είναι ασφαλές, όμως, διαχειρίζεστε με ασφάλεια το περιβάλλον cloud σας;
Σε μια εποχή έλλειψης ταλέντων και περιορισμού των προϋπολογισμών, το σύννεφο προσφέρει πολλά πλεονεκτήματα—αποδοτικότητα κόστους, απεριόριστα επεκτάσιμους πόρους, εργαλεία αιχμής και πιο αξιόπιστη προστασία δεδομένων από ό,τι οι περισσότεροι επικεφαλής ασφαλείας πιστεύουν ότι μπορούν να επιτύχουν στις εγκαταστάσεις τους. Ενώ οι CISO συνήθιζαν να βλέπουν τους πόρους cloud ως συμβιβασμό μεταξύ μεγαλύτερης έκθεσης σε κινδύνους και μεγαλύτερης αποδοτικότητας του κόστους, οι περισσότεροι από τους επικεφαλής ασφαλείας με τους οποίους μιλάμε σήμερα έχουν αγκαλιάσει το cloud ως τη νέα κανονικότητα. Εμπιστεύονται την ισχυρή θεμελιώδη ασφάλεια της τεχνολογίας cloud: "Περιμένω ότι οι πάροχοι υπηρεσιών cloud έχουν τακτοποιήσει τα του οίκου τους όσον αφορά τη διαχείριση ταυτότητας και πρόσβασης, την ασφάλεια του συστήματός τους και τη φυσική τους ασφάλεια", λέει ένας CISO.
Όμως, όπως αναγνωρίζουν οι περισσότεροι ηγέτες ασφαλείας, η θεμελιώδης ασφάλεια του cloud δεν εγγυάται ότι τα δεδομένα σας είναι ασφαλή—η προστασία των δεδομένων σας στο cloud εξαρτάται σε μεγάλο βαθμό από τον τρόπο με τον οποίο οι υπηρεσίες cloud εφαρμόζονται παράλληλα με τα συστήματα στις εγκαταστάσεις και την εγχώρια τεχνολογία. Ο κίνδυνος προκύπτει από τα κενά μεταξύ του cloud και των παραδοσιακών οργανωτικών ορίων, των πολιτικών και των τεχνολογιών που χρησιμοποιούνται για την ασφάλεια του cloud. Προκύπτουν λανθασμένες ρυθμίσεις, αφήνοντας συχνά τους οργανισμούς εκτεθειμένους και εξαρτώμενους από τις ομάδες ασφαλείας για τον εντοπισμό και την κάλυψη των κενών.
"Ένας μεγάλος αριθμός παραβιάσεων οφείλεται σε λανθασμένες ρυθμίσεις, σε κάποιον που κατά λάθος παραμετροποιεί κάτι ή αλλάζει κάτι που επιτρέπει τη διαρροή των δεδομένων".
Μέχρι το 2023, το 75% των παραβιάσεων της ασφάλειας του cloud θα οφείλεται σε ανεπαρκή διαχείριση των ταυτοτήτων, της πρόσβασης και των προνομίων, σε σχέση με το 50% το 2020 (Η λανθασμένη διαμόρφωση και οι ευπάθειες αποτελούν τους μεγαλύτερους κινδύνους για την ασφάλεια του cloud: Αναφορά | CSO Online). Η πρόκληση δεν έγκειται στην ασφάλεια του ίδιου του cloud, αλλά στις πολιτικές και τους ελέγχους που χρησιμοποιούνται για την ασφάλεια της πρόσβασης. Όπως το θέτει ένας CISO χρηματοπιστωτικών υπηρεσιών, "η ασφάλεια του cloud είναι πολύ καλή, αν αναπτυχθεί σωστά. Το ίδιο το cloud και τα στοιχεία του είναι ασφαλή. Όμως, μπαίνεις στη διαδικασία να σκεφτείς: γράφω σωστά τον κώδικά μου; Ρυθμίζω σωστά τους συνδέσμους μου σε όλη την επιχείρηση;" Ένας άλλος επικεφαλής ασφαλείας συνοψίζει την πρόκληση: "Η λανθασμένη παραμετροποίηση αυτών των υπηρεσιών cloud είναι αυτό που ανοίγει τις υπηρεσίες σε παράγοντες απειλής". Καθώς όλο και περισσότεροι ηγέτες ασφαλείας συνειδητοποιούν τους κινδύνους της λανθασμένης διαμόρφωσης του cloud, η συζήτηση γύρω από την ασφάλεια του cloud έχει μετατοπιστεί από το ερώτημα "Είναι το cloud ασφαλές;". στο ερώτημα "Χρησιμοποιώ το cloud με ασφάλεια;"
Τι σημαίνει "ασφαλής χρήση του cloud"; Πολλοί από τους επικεφαλής με τους οποίους συνομιλώ προσεγγίζουν τη στρατηγική ασφάλειας του cloud από την αρχή, αντιμετωπίζοντας τα ανθρώπινα λάθη που εκθέτουν τον οργανισμό σε κινδύνους, όπως παραβιάσεις ταυτότητας και λανθασμένες ρυθμίσεις. Αυτό είναι σύμφωνο με τις συστάσεις μας, καθώς η—διασφάλιση των ταυτοτήτων και η προσαρμοστική διαχείριση της πρόσβασής τους είναι απολύτως θεμελιώδους σημασίας για κάθε στρατηγική ασφάλειας στο cloud.
Για όποιον είναι ακόμα διστακτικός, ίσως αυτό βοηθήσει: Η McAfee ανέφερε ότι το 70 τοις εκατό των εκτεθειμένων αρχείων—5,4 δισεκατομμύρια—εκτέθηκαν σε κίνδυνο λόγω λανθασμένων ρυθμίσεων παραμέτρων υπηρεσιών και πυλών. Η διαχείριση της πρόσβασης μέσω ελέγχων ταυτότητας και η εφαρμογή ισχυρής υγιεινής της ασφάλειας μπορούν να συμβάλουν σε μεγάλο βαθμό στην κάλυψη των κενών. Η McAfee ανέφερε παρομοίως ότι το 70 τοις εκατό των εκτεθειμένων αρχείων—5,4 δισεκατομμύρια—εκτέθηκαν σε κίνδυνο λόγω λανθασμένων ρυθμίσεων παραμέτρων υπηρεσιών και πυλών. Η διαχείριση της πρόσβασης μέσω ελέγχων ταυτότητας και η εφαρμογή ισχυρής υγιεινής της ασφάλειας μπορούν να συμβάλουν σε μεγάλο βαθμό στην κάλυψη των κενών.
Μια ισχυρή στρατηγική ασφάλειας στο cloud περιλαμβάνει αυτές τις βέλτιστες πρακτικές:
1. Εφαρμογή ολοκληρωμένης στρατηγικής ενοποιημένης πλατφόρμας εγγενούς προστασίας εφαρμογών στο cloud (CNAPP): Η διαχείριση της ασφάλειας με κατακερματισμένα εργαλεία μπορεί να προκαλέσει τυφλά σημεία στην προστασία και υψηλότερο κόστος. Η ύπαρξη μιας πλατφόρμας "όλα σε ένα" που σας επιτρέπει να ενσωματώσετε την ασφάλεια από τον κώδικα έως το cloud είναι ζωτικής σημασίας για τη μείωση της συνολικής περιοχής ευάλωτης σε επιθέσεις στο cloud και την αυτοματοποιημένη προστασία από απειλές. Η στρατηγική CNAPP περιλαμβάνει τις ακόλουθες βέλτιστες πρακτικές:
Μια πλατφόρμα προστασίας εφαρμογών εγγενής στο cloud, όπως αυτή που προσφέρεται στο Microsoft Defender για Cloud όχι μόνο προσφέρει ορατότητα σε πόρους πολλαπλού cloud, αλλά παρέχει επίσης προστασία σε όλα τα επίπεδα του περιβάλλοντος, ενώ παρακολουθεί για απειλές και συσχετίζει τις ειδοποιήσεις σε συμβάντα που ενσωματώνονται στο SIEM σας. Αυτό εξορθολογίζει τις έρευνες και βοηθά τις ομάδες SOC να παραμένουν μπροστά από τις ειδοποιήσεις μεταξύ πλατφορμών.
Μια μικρή δόση πρόληψης—κλείσιμο των κενών ταυτότητας και λανθασμένων ρυθμίσεων παραμέτρων—σε συνδυασμό με ισχυρά εργαλεία για την αντιμετώπιση των επιθέσεων συμβάλλει σε μεγάλο βαθμό στην εξασφάλιση ολόκληρου του περιβάλλοντος cloud, από το εταιρικό δίκτυο έως τις υπηρεσίες cloud.
Μια ολοκληρωμένη κατάσταση ασφαλείας ξεκινά με την ορατότητα και ολοκληρώνεται με τη διαχείριση των κινδύνων κατά προτεραιότητα.
Η μετάβαση στην IT με επίκεντρο το cloud δεν εκθέτει τον οργανισμό μόνο σε κενά υλοποίησης, αλλά και σε μια πολλαπλασιαζόμενη σειρά από δικτυακούς πόρους—εφαρμογές, τερματικά σημεία—καθώς και σε εκτεθειμένους φόρτους εργασίας cloud. Οι επικεφαλής ασφαλείας διαχειρίζονται τη στάση τους σε αυτό το περιβάλλον χωρίς περίμετρο με τεχνολογίες που παρέχουν ορατότητα και ιεραρχημένη απόκριση. Αυτά τα εργαλεία βοηθούν τους οργανισμούς να χαρτογραφήσουν μια απογραφή πόρων που καλύπτει ολόκληρη την περιοχή ευάλωτη σε επιθέσεις, καλύπτοντας διαχειριζόμενες και μη διαχειριζόμενες συσκευές εντός και εκτός του δικτύου του οργανισμού. Χρησιμοποιώντας αυτούς τους πόρους, οι CISO είναι σε θέση να αξιολογήσουν την κατάσταση ασφαλείας κάθε πόρου, καθώς και τον ρόλο του στην επιχείρηση, ώστε να αναπτύξουν ένα ιεραρχημένο μοντέλο κινδύνου.
Στις συζητήσεις μας με τους επικεφαλής της ασφάλειας, βλέπουμε μια εξέλιξη από την ασφάλεια που βασίζεται στην περίμετρο προς μια προσέγγιση που βασίζεται στην κατάσταση ασφαλείας και αγκαλιάζει ένα οικοσύστημα χωρίς σύνορα.
Όπως το θέτει ένας CISO, "Για μένα, η κατάσταση φτάνει μέχρι την ταυτότητα..... Δεν τη βλέπουμε μόνο ως την παλιά παραδοσιακή κατάσταση, όπου βρίσκεται η περίμετρος, αλλά τη μετακινούμε μέχρι το τελικό σημείο". (Επιχειρήσεις κοινής ωφέλειας-Ύδρευση, 1.390 εργαζόμενοι). "Η ταυτότητα έχει γίνει η νέα περίμετρος", σχολιάζει ένας FinTech CISO, ρωτώντας: "Τι σημαίνει ταυτότητα σε αυτό το νέο μοντέλο όπου δεν υπάρχει εξωτερικό και εσωτερικό;" (FinTech, 15.000 υπάλληλοι).
Δεδομένου αυτού του πορώδους περιβάλλοντος, οι CISO κατανοούν τον επείγοντα χαρακτήρα της ολοκληρωμένης διαχείρισης της κατάστασης, αλλά πολλοί αμφισβητούν αν διαθέτουν τους πόρους και την ψηφιακή ωριμότητα για να θέσουν αυτό το όραμα σε εφαρμογή. Ευτυχώς, μέσω ενός συνδυασμού δοκιμασμένων από τη βιομηχανία πλαισίων (ενημερωμένων για τις σημερινές ανάγκες) και καινοτομιών στον τομέα της ασφάλειας, η ολοκληρωμένη διαχείριση της κατάστασης είναι εφικτή για τους περισσότερους οργανισμούς.
Αποκτήστε εργαλεία στην υποδομή του κυβερνοχώρου σας που σας επιτρέπουν να κάνετε απογραφή των πόρων. Δεύτερον, εξετάστε ποιες από αυτές είναι κρίσιμες, ποιες έχουν τον μεγαλύτερο κίνδυνο για τον οργανισμό και κατανοήστε ποιες είναι οι πιθανές ευπάθειες αυτών των συσκευών και αποφασίστε αν αυτό είναι αποδεκτό—πρέπει να το διορθώσω ή να το απομονώσω.
Ακολουθούν ορισμένες βέλτιστες πρακτικές και εργαλεία που χρησιμοποιούν οι επικεφαλής ασφαλείας για να διαχειριστούν τη στάση τους σε ένα ανοικτό περιβάλλον με επίκεντρο το cloud:
Η ορατότητα είναι το πρώτο βήμα στην ολιστική διαχείριση της κατάστασης. Οι CISO ρωτούν: "Γνωρίζουμε όλα όσα διαθέτουμε ως πρώτο βήμα; Έχουμε ορατότητα πριν καν φτάσουμε στη διαχείριση; Μια απογραφή πόρων κινδύνου περιλαμβάνει πόρους ΙΤ, όπως δίκτυα και εφαρμογές, βάσεις δεδομένων, διακομιστές, ιδιοκτησίες cloud, ιδιοκτησίες IoT, καθώς και τα δεδομένα και τα περιουσιακά στοιχεία IP που είναι αποθηκευμένα σε αυτή την ψηφιακή υποδομή. Οι περισσότερες πλατφόρμες, όπως το Microsoft 365 ή το Azure, περιλαμβάνουν ενσωματωμένα εργαλεία αποθέματος πόρων που μπορούν να σας βοηθήσουν να ξεκινήσετε.
Από τη στιγμή που ένας οργανισμός διαθέτει ένα ολοκληρωμένο απόθεμα πόρων, είναι δυνατή η ανάλυση του κινδύνου όσον αφορά τόσο τις εσωτερικές ευπάθειες όσο και τις εξωτερικές απειλές. Αυτό το βήμα εξαρτάται σε μεγάλο βαθμό από το περιβάλλον και είναι μοναδικό για κάθε οργανισμό—μια αξιόπιστη αξιολόγηση κινδύνου εξαρτάται από μια ισχυρή συνεργασία μεταξύ των ομάδων ασφάλειας, πληροφορικής και δεδομένων. Αυτή η διαλειτουργική ομάδα αξιοποιεί στην ανάλυσή της αυτοματοποιημένα εργαλεία βαθμολόγησης και ιεράρχησης κινδύνων—για παράδειγμα, τα εργαλεία ιεράρχησης κινδύνων που είναι ενσωματωμένα στο Microsoft Entra ID, το Microsoft Defender XDR και το Microsoft 365. Οι αυτοματοποιημένες τεχνολογίες βαθμολόγησης και ιεράρχησης κινδύνων μπορούν επίσης να ενσωματώνουν καθοδήγηση εμπειρογνωμόνων για την αποκατάσταση των κενών, καθώς και πληροφορίες σχετικά με το περιβάλλον για την αποτελεσματική αντιμετώπιση απειλών.
Με σαφή κατανόηση του τοπίου κινδύνων, οι τεχνικές ομάδες μπορούν να συνεργαστούν με τους επικεφαλής των επιχειρήσεων για την ιεράρχηση των παρεμβάσεων ασφαλείας σε σχέση με τις επιχειρηματικές ανάγκες. Εξετάστε τον ρόλο κάθε πόρου, την αξία του για την επιχείρηση και τον κίνδυνο για την επιχείρηση σε περίπτωση παραβίασης, θέτοντας ερωτήσεις όπως: "Πόσο ευαίσθητες είναι αυτές οι πληροφορίες και ποιος θα ήταν ο αντίκτυπος στην επιχείρηση από την έκθεσή τους;" ή "Πόσο κρίσιμα για την αποστολή είναι αυτά τα συστήματα—ποιες θα ήταν οι επιπτώσεις της διακοπής λειτουργίας στην επιχείρηση;" Η Microsoft προσφέρει εργαλεία για την υποστήριξη μιας ολοκληρωμένης αναγνώρισης και ιεράρχησης των ευπαθειών σύμφωνα με τη μοντελοποίηση επιχειρηματικού κινδύνου, συμπεριλαμβανομένων των Microsoft Secure Score, Microsoft Compliance Score, Azure Secure Score, Διαχείριση περιοχής ευάλωτης σε εξωτερικές επιθέσεις του Microsoft Defender και Διαχείριση ευπαθειών του Microsoft Defender.
Η απογραφή των πόρων, η ανάλυση κινδύνου και το μοντέλο επιχειρηματικού κινδύνου αποτελούν τη βάση για την ολοκληρωμένη διαχείριση της κατάστασης. Αυτή η ορατότητα και η διορατικότητα βοηθούν την ομάδα ασφαλείας να καθορίσει πώς να κατανείμει καλύτερα τους πόρους, ποια μέτρα ενίσχυσης πρέπει να εφαρμοστούν και πώς να βελτιστοποιήσει τον συμβιβασμό μεταξύ κινδύνου και χρηστικότητας για κάθε τμήμα του δικτύου.
Οι λύσεις διαχείρισης καταστάσεων προσφέρουν την ορατότητα και την ανάλυση ευπάθειας που βοηθούν τους οργανισμούς να κατανοήσουν πού πρέπει να εστιάσουν τις προσπάθειες βελτίωσης της κατάστασής τους. Με αυτές τις γνώσεις, μπορούν να εντοπίσουν και να δώσουν προτεραιότητα σε σημαντικές περιοχές της περιοχής ευάλωτης σε επιθέσεις.
Βασιστείτε στη Μηδενική εμπιστοσύνη και την υγιεινή για να τιθασεύσετε το εξαιρετικά ποικιλόμορφο, υπερ-δικτυωμένο περιβάλλον του IoT και του OT
Οι δύο προκλήσεις που συζητήσαμε—το κενό στην εφαρμογή του cloud και ο πολλαπλασιασμός των συσκευών που συνδέονται στο cloud—δημιουργούν μια τέλεια καταιγίδα κινδύνου σε περιβάλλοντα συσκευών IoT και OT. Εκτός από τον εγγενή κίνδυνο μιας διευρυμένης επιφάνειας επιθέσεων που εισάγουν οι συσκευές IoT και OT, οι επικεφαλής ασφαλείας μου λένε ότι προσπαθούν να εκλογικεύσουν τη σύγκλιση των εκκολαπτόμενων στρατηγικών IoT και των, παλαιού τύπου, στρατηγικών OT. Το IoT μπορεί να είναι εγγενές στο cloud, αλλά αυτές οι συσκευές συχνά δίνουν προτεραιότητα στην επιχειρηματική σκοπιμότητα έναντι της θεμελιώδους ασφάλειας.Το OT τείνει να είναι εξοπλισμός παλαιάς τεχνολογίας που διαχειρίζεται ο προμηθευτής, ο οποίος έχει αναπτυχθεί χωρίς σύγχρονη ασφάλεια και εισάγεται ad hoc στο δίκτυο IT του οργανισμού.
Οι συσκευές IoT και OT βοηθούν τους οργανισμούς να εκσυγχρονίσουν τους χώρους εργασίας, να γίνουν περισσότερο προσανατολισμένοι στα δεδομένα και να μειώσουν τις απαιτήσεις από το προσωπικό μέσω στρατηγικών αλλαγών, όπως η απομακρυσμένη διαχείριση και η αυτοματοποίηση. Η International Data Corporation (IDC) εκτιμά ότι μέχρι το 2025 θα υπάρχουν 41,6 δισεκατομμύρια συνδεδεμένες συσκευές IoT, ένας ρυθμός ανάπτυξης που υπερβαίνει αυτόν των παραδοσιακών συσκευών πληροφορικής.
Όμως αυτή η ευκαιρία συνοδεύεται από σημαντικούς κινδύνους. Η έκθεσή μας Cyber Signals του Δεκεμβρίου 2022, The Convergence of IT and Operational Technology, εξέτασε τους κινδύνους για τις υποδομές ζωτικής σημασίας που θέτουν αυτές οι τεχνολογίες.
Τα βασικά συμπεράσματα περιλαμβάνουν:
1. Το 75% των πιο συνηθισμένων βιομηχανικών ελεγκτών στα δίκτυα ΟΤ των πελατών έχουν μη διορθωμένες ευπάθειες υψηλής σοβαρότητας.
2. Από το 2020 έως το 2022, οι αποκαλύψεις ευπαθειών υψηλής σοβαρότητας σε εξοπλισμό βιομηχανικού ελέγχου που παράγεται από δημοφιλείς προμηθευτές θα αυξηθούν κατά 78%.
3. Πολλές συσκευές που είναι δημόσια ορατές στο διαδίκτυο εκτελούν μη υποστηριζόμενο λογισμικό. Για παράδειγμα, το απαρχαιωμένο λογισμικό Boa εξακολουθεί να χρησιμοποιείται ευρέως σε συσκευές IoT και κιτ ανάπτυξης λογισμικού (SDK).
Οι συσκευές IoT αποτελούν συχνά τον πιο αδύναμο κρίκο των ψηφιακών πόρων. Επειδή η διαχείρισή τους, η ενημέρωσή τους ή η εφαρμογή τους δεν γίνεται με τον ίδιο τρόπο όπως οι παραδοσιακές συσκευές τεχνολογίας πληροφορικής, μπορούν να χρησιμεύσουν ως βολική πύλη για εισβολείς που επιδιώκουν να διεισδύσουν στο τεχνολογίας πληροφορικής. Όταν κάποιος αποκτήσει πρόσβαση σε αυτές, οι συσκευές IoT είναι ευάλωτες σε εκτελέσεις απομακρυσμένου κώδικα. Ένας εισβολέας μπορεί να αποκτήσει τον έλεγχο και να εκμεταλλευτεί ευπάθειες για να εμφυτεύσει botnet ή κακόβουλο λογισμικό σε μια συσκευή IoT. Σε αυτό το σημείο, η συσκευή μπορεί να λειτουργήσει ως ανοιχτή πόρτα σε ολόκληρο το δίκτυο.
Οι συσκευές επιχειρησιακής τεχνολογίας αποτελούν έναν ακόμη πιο δυσοίωνο κίνδυνο, καθώς πολλές από αυτές είναι ζωτικής σημασίας για τη λειτουργία του οργανισμού. Παραδοσιακά εκτός σύνδεσης ή φυσικά απομονωμένα από το εταιρικό δίκτυο IT, τα δίκτυα ΟΤ αναμειγνύονται όλο και περισσότερο με τα συστήματα IT και ΙοΤ. Η μελέτη μας του Νοεμβρίου 2021 που διεξήχθη με το Ινστιτούτο Ponemon, The State of IoT/OT Cybersecurity in the Enterprise, διαπίστωσε ότι πάνω από τα μισά δίκτυα OT είναι πλέον συνδεδεμένα με εταιρικά δίκτυα IT (επιχειρήσεων). Παρόμοιο ποσοστό εταιρειών—56 τοις εκατό—διαθέτουν συσκευές συνδεδεμένες στο internet εντός του δικτύου τους ΟΤ για σενάρια όπως η απομακρυσμένη πρόσβαση.
Η συνδεσιμότητα OT εκθέτει τους οργανισμούς στον κίνδυνο σημαντικών διαταραχών και διακοπών λειτουργίας σε περίπτωση επίθεσης. Το OT είναι συχνά πυρήνας της επιχείρησης, παρέχοντας στους εισβολείς έναν δελεαστικό στόχο που μπορούν να εκμεταλλευτούν για να προκαλέσουν σημαντική ζημιά. Οι ίδιες οι συσκευές μπορεί να είναι εύκολος στόχος, καθώς συχνά περιλαμβάνουν εξοπλισμό παλαιού τύπου ή παλαιό εξοπλισμό που δεν είναι ασφαλής από τον σχεδιασμό του, είναι προγενέστερος των σύγχρονων πρακτικών ασφαλείας και μπορεί να έχει ιδιόκτητα πρωτόκολλα που δεν είναι ορατά στα συνήθη εργαλεία παρακολούθησης της πληροφορικής. Οι εισβολείς τείνουν να εκμεταλλεύονται αυτές τις τεχνολογίες, ανακαλύπτοντας εκτεθειμένα συστήματα με πρόσβαση στο internet, αποκτώντας πρόσβαση μέσω των διαπιστευτηρίων σύνδεσης των εργαζομένων ή εκμεταλλευόμενοι την πρόσβαση που παρέχεται σε τρίτους προμηθευτές και εργολάβους. Τα μη παρακολουθούμενα πρωτόκολλα ICS αποτελούν ένα κοινό σημείο εισόδου για επιθέσεις που αφορούν ειδικά τα OT (Αναφορά ψηφιακής ασφάλειας της Microsoft 2022).
Για να αντιμετωπίσουν τη μοναδική πρόκληση της διαχείρισης της ασφάλειας του IoT και του OT σε αυτό το συνδυασμένο συνεχές δίκτυο διαφορετικών συσκευών που συνδέονται με διαφορετικούς τρόπους στο δίκτυο IT, οι επικεφαλής ασφαλείας ακολουθούν αυτές τις βέλτιστες πρακτικές:
Η κατανόηση όλων των πόρων που διαθέτετε σε ένα δίκτυο, του τρόπου με τον οποίο όλοι είναι διασυνδεδεμένοι, καθώς και του επιχειρηματικού κινδύνου και της έκθεσης σε κάθε σημείο σύνδεσης, αποτελεί κρίσιμο θεμέλιο για την αποτελεσματική διαχείριση του IoT/OT. Μια λύση ανίχνευσης και απόκρισης δικτύου (NDR) με επίγνωση IoT και OT και ένα SIEM όπως το Microsoft Sentinel μπορούν επίσης να σας βοηθήσουν να έχετε περισσότερη ορατότητα στις συσκευές IoT/OT στο δίκτυό σας και να τις παρακολουθείτε για ανώμαλες συμπεριφορές, όπως η επικοινωνία με άγνωστους κεντρικούς υπολογιστές. (Για περισσότερες πληροφορίες σχετικά με τη διαχείριση των εκτεθειμένων πρωτοκόλλων ICS στο OT, ανατρέξτε στην ενότητα "Ο μοναδικός κίνδυνος ασφάλειας των συσκευών IOT," Ασφάλεια της Microsoft).
Όπου είναι δυνατόν, κάντε κατάτμηση στα δίκτυα για να αναστείλετε την πλευρική μετακίνηση σε περίπτωση επίθεσης. Οι συσκευές IoT και τα δίκτυα OT θα πρέπει να διαθέτουν τείχος κενού ή να απομονώνονται από εταιρικά δίκτυα IT μέσω τειχών προστασίας. Τούτου λεχθέντος, είναι επίσης σημαντικό να υποθέσετε ότι το ΟΤ και το ΙΤ σας συγκλίνουν και να δημιουργήσετε πρωτόκολλα μηδενικής εμπιστοσύνης σε όλη την περιοχή ευάλωτη σε επιθέσεις. Όλο και περισσότερο, η κατάτμηση του δικτύου δεν είναι εφικτή. Για οργανισμούς που υπάγονται σε ρυθμιστικούς κανόνες όπως η υγειονομική περίθαλψη, οι επιχειρήσεις κοινής ωφέλειας και η μεταποίηση, για παράδειγμα, η συνδεσιμότητα OT-IT είναι βασική για την επιχειρηματική λειτουργία—πάρτε για παράδειγμα, μηχανήματα μαστογραφίας ή έξυπνες μαγνητικές τομογραφίες που συνδέονται με συστήματα ηλεκτρονικών φακέλων υγείας (EHR), έξυπνες γραμμές παραγωγής ή καθαρισμού νερού που απαιτούν απομακρυσμένη παρακολούθηση. Σε αυτές τις περιπτώσεις, η Μηδενική εμπιστοσύνη είναι κρίσιμη.
Οι ομάδες ασφαλείας μπορούν να καλύψουν τα κενά μέσω ορισμένων βασικών πρακτικών υγιεινής όπως:
- Εξάλειψη των περιττών συνδέσεων στο διαδίκτυο και των ανοικτών θυρών, περιορισμός ή άρνηση απομακρυσμένης πρόσβασης και χρήση υπηρεσιών VPN
- Διαχείριση της ασφάλειας των συσκευών με την εφαρμογή επιδιορθώσεων και την αλλαγή προεπιλεγμένων κωδικών πρόσβασης και θυρών
- Διασφάλιση ότι τα πρωτόκολλα ICS δεν είναι άμεσα εκτεθειμένα στο internet
Για πρακτική καθοδήγηση σχετικά με τον τρόπο επίτευξης αυτού του επιπέδου πληροφόρησης και διαχείρισης, ανατρέξτε στην ενότητα "Ο μοναδικός κίνδυνος των συσκευών IoT/OT," Microsoft Security Insider.
Αξιοποιήσιμες πληροφορίες
1. Χρησιμοποιήστε μια λύση εντοπισμού και απόκρισης δικτύου (NDR) με επίγνωση IoT/OT και μια λύση διαχείρισης πληροφοριών και συμβάντων ασφαλείας (SIEM)/ενορχήστρωσης και απόκρισης ασφαλείας (SOAR) για την απόκτηση βαθύτερης ορατότητας στις συσκευές IoT/OT στο δίκτυό σας και την παρακολούθηση συσκευών για μη κανονικές ή μη εξουσιοδοτημένες συμπεριφορές, όπως επικοινωνία με άγνωστους κεντρικούς υπολογιστές
2. Προστατεύστε τους σταθμούς μηχανολογικού εξοπλισμού παρακολουθώντας με λύσεις ανίχνευσης και απόκρισης τελικών σημείων (EDR)
3. Μειώστε την περιοχή που είναι ευάλωτη σε επιθέσεις εξαλείφοντας τις περιττές συνδέσεις internet και τις ανοιχτές θύρες, περιορίζοντας την απομακρυσμένη πρόσβαση αποκλείοντας θύρες, απορρίπτοντας την απομακρυσμένη πρόσβαση και χρησιμοποιώντας υπηρεσίες VPN
4. Βεβαιωθείτε ότι τα πρωτόκολλα ICS δεν εκτίθενται απευθείας στο Internet
5. Διαχωρίστε τα δίκτυα για τον περιορισμό της δυνατότητας ενός εισβολέα να μετακινείται πλευρικά και να θέτει σε κίνδυνο πόρους μετά την αρχική εισβολή. Οι συσκευές IoT και τα δίκτυα OT θα πρέπει να απομονώνονται από εταιρικά δίκτυα IT μέσω τειχών προστασίας
6. Βεβαιωθείτε ότι οι συσκευές είναι ανθεκτικές, εφαρμόζοντας ενημερώσεις κώδικα, αλλάζοντας προεπιλεγμένους κωδικούς πρόσβασης και θύρες
7. Υποθέστε ότι το ΟΤ και το ΙΤ σας συγκλίνουν και δημιουργήστε πρωτόκολλα μηδενικής εμπιστοσύνης εντός της περιοχής ευάλωτης σε επιθέσεις
8. Διασφάλιση της οργανωτικής ευθυγράμμισης μεταξύ ΟΤ και ΤΠ με την προώθηση μεγαλύτερης ορατότητας και ομαδικής ολοκλήρωσης
9. Σχολαστική τήρηση των βέλτιστων πρακτικών ασφάλειας IoT/OT με βάση τις θεμελιώδεις πληροφορίες σχετικά με τις απειλές
Καθώς οι επικεφαλής ασφάλειας εκμεταλλεύονται την ευκαιρία να εξορθολογήσουν τους ψηφιακούς τους πόρους εν μέσω κλιμακούμενων απειλών και πίεσης να κάνουν περισσότερα με λιγότερους πόρους, το cloud αναδεικνύεται ως το θεμέλιο της σύγχρονης στρατηγικής ασφάλειας. Όπως είδαμε, τα οφέλη μιας προσέγγισης με επίκεντρο το cloud υπερτερούν κατά πολύ των κινδύνων—ειδικά για τους οργανισμούς που εφαρμόζουν βέλτιστες πρακτικές για τη διαχείριση των περιβαλλόντων cloud τους μέσω μιας ισχυρής στρατηγικής ασφάλειας cloud, μιας ολοκληρωμένης διαχείρισης της κατάστασης και συγκεκριμένων τακτικών για την κάλυψη των κενών στην άκρη του IoT/OT.
Για πρακτική καθοδήγηση σχετικά με τον τρόπο επίτευξης αυτού του επιπέδου πληροφόρησης και διαχείρισης, ανατρέξτε στην ενότητα "Ο μοναδικός κίνδυνος των συσκευών IoT/OT," Microsoft Security Insider.
Όλες οι αναφερόμενες έρευνες της Microsoft χρησιμοποιούν ανεξάρτητες εταιρείες έρευνας για να επικοινωνήσουν με επαγγελματίες ασφάλειας τόσο για ποσοτικές όσο και για ποιοτικές μελέτες, διασφαλίζοντας προστασία απορρήτου και αναλυτική αυστηρότητα. Τα αποσπάσματα και τα ευρήματα που περιλαμβάνονται σε αυτό το έγγραφο, εκτός εάν ορίζεται διαφορετικά, είναι αποτέλεσμα ερευνητικών μελετών της Microsoft.
Ακολουθήστε την Ασφάλεια της Microsoft